[英]What is the easiest way to inject a script in to someone else's domain?
例如,如果我在www.facebook.com上,并且想注入脚本来分析其DOM? 一种方法是打开控制台,然后使用类似
document.createElement('script');
然后设置src属性,等等。
这是最好的方法吗?
如果您尝试检查某人的DOM,则使用JS控制台或调试器(如果您的浏览器是本机提供的或作为Firebug的附件提供)可能最简单。
您可以使用代理服务器(例如Burp或ZAP)来拦截来自网站的响应并注入您自己的JavaScript。
您可以使用网络搜寻器复制该站点。 您应该首先获得许可,确保您不违反服务条款,并确保有足够的空间。 然后,您就可以尽情浏览网站了:)
作为另一种选择,您可以使用XSSshell之类的引擎,在XSSshell受损的Web浏览器中加载要检查的网站,然后将要加载的代码加载到XSSshell中。
或者,您可以设置自己的DNS服务器,该服务器为foo.facebook.com之类的内容指定本地IP地址,而其他所有内容均作为facebook.com。 根据FB管理网站的方式(新的HTTP标头,Cookie路径),您可以在浏览FB时从本地服务器运行JavaScript。
如果您确实确实想编写在相关REAL网站中执行的代码,而不仅仅是副本,并且您不关心违反法律,那么您将需要找到一个跨站点脚本漏洞。 这也使您可以将自己的JavaScript加载到目标服务器的执行环境中。 我不建议您这样做-至少,如果您不合法拥有目标环境,则不要这样做:)
我建议编写一个浏览器插件,因为这实际上是浏览器允许将代码“注入”页面的唯一方法。 有一个浏览器插件,我认为它叫做“ Better Facebook”或类似的名称,它执行此操作,在页面加载后扫描DOM并分析+修改它(以使其“更好”)。
http://developer.chrome.com/extensions/getstarted.html
https://developer.mozilla.org/zh-CN/docs/Building_an_Extension
http://www.techradar.com/us/news/internet/the-beginner-s-guide-to-greasemonkey-scripting-598247
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.